WordPress-Anwender|innen anwesend?
Donnerstag, 12.1.2017, 08:09 > daMaxDeine Website ist mit WordPress zusammengebastelt? Dann mal schnell updaten!
- Remote code execution (RCE) in PHPMailer – No specific issue appears to affect WordPress or any of the major plugins we investigated but, out of an abundance of caution, we updated PHPMailer in this release. This issue was reported to PHPMailer by Dawid Golunski and Paul Buonopane.
- The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
- Cross-site scripting (XSS) via the plugin name or version header on
update-core.php. Reported by Dominik Schilling of the WordPress Security Team.- Cross-site request forgery (CSRF) bypass via uploading a Flash file. Reported by Abdullah Hussam.
- Cross-site scripting (XSS) via theme name fallback. Reported by Mehmet Ince.
- Post via email checks
mail.example.comif default settings aren’t changed. Reported by John Blackbourn of the WordPress Security Team.- A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. Reported by Ronnie Skansing.
- Weak cryptographic security for multisite activation key. Reported by Jack.
Und das sind nur die Sicherheitsprobleme. Dazu wurden noch 62 Fehler gefixt. Oh oh.
Artikel als RSS
und natürlich habe ich mich ca…
Das passiert doch (mittlerweile) automatisch.
Aber das sind keine besonders schlimmen Sachen für eine 08/15 WP Seite. Welche Gefahren siehst du da?
@struppi: also mir reicht schon der Spruch "The REST API exposed user data for all users who had authored a post of a public post type."
und 3 Cross-Site-Probleme. Naja, sicher noch so schlimm wie ein Atomkraftwerkhack, aber gut halt auch nicht.
Naja, XSS Lücken sind ja nur eine Gefahr, wenn auf deiner Seite eingeloggte User verkehren und dadurch deren Loginstatus oder auch Daten abgegriffen werden könnte. Tun sie aber nicht.
Und das Rest API ist doch ein Plugin, ist das bei dir installiert? Ich hab keine Installation wo das drauf ist.
So wie ich das überblicke betreffen die Meldungen im Grunde nur spezielle Themes und Plugins oder Szenarien, die bei einer WP Installation kaum vorkommen.
@struppi: jaaaaa aaaaber, ich verblogge das hier ja nicht nur für mich, sondern eben auch für meine 3 Leser. Vin denen hat ja vielleicht jemand Interesse daran
Schon klar. Aber wie gesagt, WP sollte doch automatisch geupdated werden, bei dir nicht?
Ich hatte vorgestern vier Mails WP bekommen, dass eine neue Version installiert wurde.
Und das WP auch schon Einfallstore hatte sollte bekannt sein (wer seinen Blog nicht auf automatische updates gestellt hat, müsste eigentlich mit 99% Wahrscheinlichkeit schon mal Opfer geworden sein - ich war es schon). Aber Grund zur Panikmache gibt es hier nicht (es sei denn, man hat eine WP Installation die die genannten Plugins nutzt und/oder Benutzerkonten.)
@struppi: nee, ich update mein eigenes Blog lieber selbst. Die anderen Sites werden aber schon automatisch aktualisiert...
Ach so.
Seit ein selten "genutzer" WP-Blog von mir gehackt wurde, hab ich alles auf automatisch gestellt. Ich sehe keinen Vorteil das nicht zu tun, zumal du ja auch eine Nachricht bekommst wenn ein update eingespielt wurde. Wenn du gehackt wurdest nicht (bzw. erst später vom Hoster oder so).